-
Junior Member
- Вес репутации
- 49
Помогите разблокировать Винду XP на ноутбуке
Вылазит окно с требованием заплатить на телефон через терминал. Чел (владелец аппарата) заплатил, но на чеке естественно ни какого кода нет.
Защищенный режим также заблокирован. Экранная лупа проскакивает окно с предложением посетить сайт МС инк. (Видимо стоит галочка "Не показывать при следующих запусках).
Родного загрузочного LifeCD нет.
Что делать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 49
userinit
C:\WINDOWS\system32\userinit.exe,
shell
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\WS4KCNT7\xxx_video_77985.avi[1].exe
Значение параметра shell заменить на explorer.exe?
Последний раз редактировалось belal; 24.12.2010 в 11:37.
Причина: Добавлено
-
Сообщение от
belal
Значение параметра shell заменить на explorer.exe?
да
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 49
Логи сделал с одним но. После первого прогона avz пришлось устанавливать модем и перезагружать комп (ну нет у меня усб-билайна, через который всё работало).
логи:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\WS4KCNT7\xxx_video_77985.avi[1].exe','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\WS4KCNT7\xxx_video_77985.avi[1].exe');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DelBHO('{88888888-8888-8888-8888-888888888888}');
DeleteFile('C:\Documents and Settings\Admin\Application Data\msmedia.dll');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Профиксите в HijackThis
Код:
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
В остальном подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Junior Member
- Вес репутации
- 49
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-